すべてのCISOが対処すべき6つの重大なセキュリティギャップ

CISOたちは、完全に安全な組織は存在しないと認識しながらも、自社のセキュリティ対策が十分な水準に達していないと認める声も多いです。

Proofpointの「2025 Voice of the CISOレポート」の調査に回答したCISOの3分の1が、自社のデータは十分に保護されていないと答えています。また、58%がサイバー攻撃への対応に自社は準備不足だと回答しました。一方、サイバーセキュリティ目標を達成するための十分な予算・人員・ツールが整っていると感じているのは67%にとどまりました。

こうした数字は、多くの組織（全部ではないにせよ）において、重大なサイバーセキュリティのギャップが依然として存在することを示しています。攻撃者が自動化や人工知能を積極的に活用するなか、悪用される可能性のあるセキュリティギャップへの対処が急務となっています。以下では、ITセキュリティリーダーや業界の有識者が指摘する、CISOが注目すべき6つの重大なセキュリティギャップを紹介します。

1. 認識のギャップ

近年、CISOはよりビジネス志向になってきましたが、多くはいまだに自らの主な役割をデジタルシステムの保護と捉えており、本来あるべき姿であるビジネスのレジリエンス確保という視点が欠けていると、Health-ISACのCSO、エロール・ワイス氏は指摘します。

「CISOたちは、最悪の事態をいまだにITの観点から考えており、セキュリティをITの問題として捉えています」と同氏は述べています。「システムをどんなコストをかけても守るという発想から脱却し、レジリエンスを構築し、何かが失敗した際の波及影響を考えることへとシフトする必要があります。」

ワイス氏は、このギャップが多くの組織で解消されない理由の一つとして、レジリエンスの中核をなすビジネス継続性が、通常はCISO以外の経営幹部の担当であることを挙げています。「ビジネス継続性はこれまで他の誰かの問題でしたが、今やセキュリティ組織が主体的に取り組むべき課題となっています」と同氏は言います。

攻撃がIT環境に与える影響ではなく、デジタル脅威がビジネス全体にどう影響するかを広い視野で考えるようになると、CISOはより正確に最重要リスクを把握し、インシデントの被害範囲をより的確に見積もれるようになるとワイス氏は説明します。それにより、防御策や修復アクションの優先順位付けが的確になり、インシデントを封じ込めて、ビジネス運営を妨げる予期せぬ連鎖的影響を防げる可能性が高まります。

医療業界全体に波及した影響を引き起こした2024年のChange Healthcareへのサイバー攻撃は、CISOがサイバー脅威とリスクに対する認識のギャップを解消する必要性を示す好例だと、同氏は言います。

2. 脅威アクターのスピードとセキュリティのスピードの差

脅威インテリジェンス企業Cisco Talosが発表した「2025 Year in Review」レポートは、「2025年の脅威環境は、脆弱性悪用スピードの前例のない加速によって特徴付けられました。攻撃者はReact2ShellやToolShellなど新たなセキュリティ上の欠陥を開示直後にほぼ即座に武器化しました」と述べています。

多くのセキュリティチームはそれほど迅速には動けておらず、脅威アクターとの間にアジリティのギャップが生まれていると、ITサービスプロバイダーCDWのセキュリティ戦略ディレクター、バック・ベル氏は述べています。

「現在見られるギャップのほとんどは、実行上のギャップです」と同氏は付け加えています。

多くのセキュリティプログラムには、「リアルタイムの調整が必要な世界における静的なセキュリティ対策」など、旧来の思考が残っていると同氏は指摘します。月次のペネトレーションテストや「パッチチューズデー」は古い時代の遺物ですが、いまだに一部のセキュリティ部門で続いています。「現実として、今日の組織はより高いスピードで実行する必要があります」と同氏は言います。

優れたCISOたちは、AI、自動化、継続的な脅威エクスポージャー管理（CTEM）などの手法を取り入れることで、運営スピードを高めているとベル氏は述べています。

3. ビジネスのスピードとセキュリティのスピードの差

同様に、一部のCISOはセキュリティがビジネスと同じ速度で動けるよう、スピードとアジリティを高める必要があります。プロフェッショナルサービス企業PwCは「2026 CISO Outlook」の中で次のように述べています。「CISOの役割は重大な転換点を迎えています。テクノロジーが加速し新たな脅威が出現する中、変化のスピードに合わせてリードすることが求められています。AI、量子コンピューティング、超接続された世界がリスクを再定義しており、あなたのビジネスは注目しています。」

ソフトウェア企業Model Nのグローバル情報セキュリティ責任者兼データ保護責任者、チラグ・シャー氏は、今日ではビジネスがペースを決める存在だと認識しています。「ビジネスはより速く動こうとしており、その場合、セキュリティとコンプライアンスも同じ速度で走らなければなりません」と同氏は言います。

一方で、セキュリティがついていくのに苦労していることも同氏は認識しています。「私たちは常に追いかける側に回っています」と同氏は付け加えています。

シャー氏はスピードを高めるための取り組みを実践しており、その一例として、ビジネスの優先プロジェクトに対応できるよう、セキュリティスタッフへのAIスキル向上研修を実施しています。

SANS InstituteのフィールドCISOでAIセキュリティ担当バイスプレジデントのクリス・コクラン氏は、フレームワークや標準を採用してセキュリティの同僚と連携するCISOは、ビジネスの変化に応じて迅速に展開・拡張できる実証済みの戦術を習得・導入することでスピードを高められると述べています。

4. 現有スキルと必要スキルのギャップ

CISOは長年にわたり、必要な人材確保に苦労してきました。かつては役職を埋めるための人数確保が主な課題でしたが、今ではセキュリティ専門家が成功するために必要な最新スキルを持ち合わせていないことへの懸念が高まっています。

「SANS 2026 Cybersecurity Workforce Research Report」によると、「サイバーセキュリティの人材は根本的な変革の過渡期にあります。人工知能が従来のキャリア入口を変革し、規制コンプライアンスの要求がスキル検証の新たなフレームワークを生み出す中、組織はトップダウンでチームを再構築しています。この収束により、単に人員を増やすよりも適切な能力を持つことが重要だと認識が高まる一方で、組織が解消に苦労するスキルギャップが拡大しています。」

同レポートはさらに、「新しい役割のスペシャリストの需要は前年比でほぼ倍増し、既存スキルの追加採用も大幅に増加した」と述べています。

この点に対するCISOの懸念は加速しており、2026年には60%のセキュリティリーダーがスキルギャップを最大の人材課題として挙げています（前年の52%から上昇）。一方、人員不足を主な問題とした回答者は40%にとどまっています。

ソフトウェアメーカーMimecastのグローバルフィールドCISO、ベス・ミラー氏は、CISOを悩ませているのはセキュリティチーム内のスキルギャップだけでなく、組織全体に必要なセキュリティスキルのギャップだと指摘しています。

「スキルが十分に揃ったセキュリティチームを持っていても、ビジネス側にセキュリティスキルがなければ、ギャップは依然として残ります」と同氏は言います。

「組織全体の人的レイヤーへの投資」がギャップ解消に不可欠だと同氏は付け加えています。

SANS InstituteのコクランCISOも同様の見解を示し、CISOは継続的な学習とトレーニングの文化を構築する必要があると述べています。「ギャップを縮めるには一言に尽きます。それは『意図』です」と同氏は言います。

5. AIデプロイメントのセキュリティ確保におけるギャップ

CISOがAIデプロイメントのセキュリティ確保で後れを取っている理由はいくつかあります。

まず、MimecastのミラーCISOは「AIを取り巻く要求がCISOの準備を上回るスピードで動いています。私たちや他の組織で見られるパターンは、経営陣がトップダウンでAI導入イニシアチブを発表し、それが競合他社への対抗意識や取締役会の期待に紐付いていることです。そして数週間のうちに、ビジネス部門がAIツールを構築し、データに接続し、既存システムにAIを統合していき、CISOはその実装中または実装後になってようやくそれらのイニシアチブを知ることになります」と述べています。

さらに、経営陣の関与や認知が全くないまま、ボトムアップで行われるAIデプロイメントも存在します。「シャドーAIは業界全体で起きています」とModel NのシャーCISOは述べています。セキュリティ部門やITが事後にそうしたデプロイメントを発見したとしても、その発見自体がセキュリティギャップを解消するわけではありません。

専門家たちはさらに、テクノロジーの進化に合わせてAI向けの適切なセキュリティコントロールを開発すること、そして技術の進化に伴って変化するコントロールやガバナンスフレームワークへの全員の賛同と遵守を得ることの難しさも指摘しています。こうした状況は、AIのセキュリティ確保に必要なものと実際に実装されているコントロールとの間にギャップを生み出すことを避けられません。

「これはITの問題に見せかけたガバナンスのギャップです」とミラー氏は付け加えています。

SANSのレポートによると、AI向けセキュリティポリシーを整備していた組織はわずか54%、包括的なガバナンスフレームワークの準備が整っていた組織はわずか20%で、約75%がガバナンス構造を実装中または構築途中でした。

SANSは「AIセキュリティガバナンスはまだ初期段階にある」と結論付けています。他の専門家たちも同様の認識を示し、多くの組織で大きく口を開けているように見えるこのギャップを縮めるには、CISOがオブザーバビリティツール、経営陣への影響力スキル、AIに関するセキュリティ意識向上・トレーニング、新興のAIセキュリティベストプラクティス、そして新しいAIガバナンスフレームワークを活用する必要があると述べています。

6. レガシーのギャップ

CiscoのグローバルCISO、ジェイソン・リッシュ氏は、多くのビジネスリーダーがテクノロジーに対して「設定したら放置」というメンタリティを持っており、システムが機能していて差別化要因でない限りITの近代化を拒む傾向があると述べています。

これはCIOがAIやその他の新技術をレガシー技術に統合しようとする際の課題となるだけでなく、CISOが最新のセキュリティ手法や技術を導入しようとする際にも障壁となるとリッシュ氏は説明しています。そして、脅威アクターがサポート終了したシステムや最新のセキュリティコントロールを実装できないレガシー技術をAIを使って悪用する能力を高める中、これはより深刻なセキュリティ問題となっています。

全米州CIO協会（NASCIO）とDeloitte & Toucheによる2026年の調査では、CISOがレガシーインフラを、脅威の高度化やサイバーセキュリティへの不十分な資金提供と並んで、サイバーセキュリティ課題への対応を阻む上位3つの障壁の一つとして挙げていることが明らかになりました。

「CISOはここでリスクベースのアプローチを考えるべきです」とリッシュ氏は述べています。「取締役会や経営幹部に対して、『これらが私たちが交換すべき最も重要なレガシー機器やデバイスです』と伝え、交換しないことのリスクを理解してもらう必要があります。その優先順位を示すのはCISOの役割です。」